| Informe | 2025-0028 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre las condiciones generales del servicio eSimFLAG de Telefónica Móviles España (S.A.U.)
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe jurídico (referencia 2025-0028) que analiza la adecuación a la normativa de protección de datos de las Condiciones Generales del Servicio eSimFLAG y su Política de Privacidad, presentadas por Telefónica Móviles España, S.A.U. (TME). El objetivo es verificar que la información proporcionada cumple con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), especialmente en cuanto a transparencia, información al interesado, licitud del tratamiento y conservación de datos.
Marco legal aplicable
El informe se basa en:
RGPD (Reglamento UE 2016/679): Exige que la información sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro (Art. 12).
LOPDGDD (Art. 11): Establece que la información al interesado puede estructurarse en dos capas:
Primera capa (información básica): Debe incluir identidad del responsable, finalidad del tratamiento y derechos ARCO+P (acceso, rectificación, supresión, limitación, oposición y portabilidad).
Segunda capa (información detallada): Enlace a políticas de privacidad con detalles completos sobre tratamientos, bases jurídicas, plazos de conservación y destinatarios de datos.
Valoraciones clave del informe
A. Información básica (primera capa)
Adecuada: La cláusula 19 de las Condiciones Generales incluye los elementos mínimos exigidos:
Identidad de TME y Telefónica de España, S.A.U. (TDE) como corresponsables (aunque este punto se matiza más adelante).
Finalidad del tratamiento (prestación del servicio eSimFLAG y otras finalidades no especificadas).
Derechos del interesado (ARCO+P).
Elaboración de perfiles comerciales (con base en interés legítimo y derecho de oposición).
Problemas detectados:
Corresponsabilidad: TME y TDE se declaran corresponsables en función de los productos contratados, pero el informe aclara que esta figura no puede ser genérica (Art. 26 RGPD). Debe especificarse qué datos y tratamientos corresponden a cada entidad en el servicio eSimFLAG concreto, y se debe incluir un acuerdo transparente con los aspectos esenciales accesibles al usuario.
Falta de claridad en los fines del tratamiento:
La cláusula menciona «otras finalidades» sin concretarlas (violación del principio de transparencia).
Se sugiere reemplazar expresiones como «nos permite o autoriza» por «prestar su consentimiento expreso» (Art. 6.1.a RGPD para tratamientos basados en consentimiento).
B. Información detallada (segunda capa: Política de Privacidad)
El análisis de los epígrafes 4 («Qué datos tratamos») y 5 («Para qué tratamos tus datos») revela falta de transparencia:
Datos tratados:
Se incluyen datos biométricos (fotos del DNI, selfi o voz para autenticación) sin justificación clara ni proporcionalidad. La AEPD recuerda que los datos biométricos son de especial protección (Art. 9 RGPD), y su tratamiento solo es lícito con consentimiento explícito o alguna excepción legal. En este caso, no se cumple el principio de minimización ni necesidad, por lo que debe eliminarse su inclusión.
Datos de consumo, facturación y localización se tratan con base en interés legítimo (Art. 6.1.f RGPD), pero deben delimitarse claramente que sean objetivamente indispensables para la prestación del servicio (ejemplo: datos de localización para cobertura en el destino elegido, no en todos los servicios contratados por el usuario).
Bases jurídicas:
Interés legítimo (Art. 6.1.f RGPD): Aplicable para perfiles comerciales de productos similares a eSimFLAG (ejemplo: recomendaciones de servicios de datos). Sin embargo, no puede usarse para comunicaciones comerciales de terceros (requiere consentimiento expreso del usuario, Art. 21 Ley 34/2002).
Consentimiento (Art. 6.1.a RGPD): Necesario para:
Tratamientos con datos biométricos (eliminar por desproporcional).
Elaboración de perfiles para «mejorar servicios» o «procesos internos».
Comunicaciones comerciales de colaboradores (debe solicitarse consentimiento específico).
Identificación del usuario:
TME solo verifica al contratante mediante el número de móvil y email, sin garantizar que sea el titular legal de la línea. Esto incumple el principio de responsabilidad proactiva (Art. 5.2 RGPD), ya que TME no demuestra haber adoptado medidas para asegurar la licitud del tratamiento con datos de terceros (riesgo de suplantación).
Conservación de datos (Art. 13.2.a RGPD):
La política de privacidad establece plazos genéricos (ejemplo: 10 años para datos de facturación o de usuarios dados de baja), pero no especifica normas concretas que justifiquen estos plazos.
Debe distinguirse entre:
Datos necesarios para la prestación del servicio (suprimir tras la baja).
Datos bloqueados para reclamaciones (máximo plazos de prescripción legales: 5 años para acciones civiles, 4 para fiscales, etc.).
Datos calculados (solo pueden conservarse hasta la extinción del contrato).
Destinatarios y transferencias internacionales:
Comunicaciones a colaboradores (epígrafe 8.b): TME comparte datos para «fines administrativos internos» (ejemplo: estadísticas agregadas), pero no especifica qué datos ni su base jurídica. Requiere:
Solicitar consentimiento específico del usuario.
Limitar el acceso a datos concretos y anonimizados si es posible.
Transferencias a terceros países: Se informa correctamente la existencia de cláusulas tipo (ejemplo: Canadá y Colombia), cumpliendo con el Art. 46 RGPD.
Incumplimientos detectados y recomendaciones
Falta de transparencia en los fines del tratamiento: Redactar de forma clara y específica los tratamientos y bases jurídicas.
Corresponsabilidad no justificada: Suprimir la referencia genérica a TME y TDE como corresponsables de todos los productos, y especificar solo para el servicio eSimFLAG.
Tratamiento de datos biométricos: Eliminar su inclusión por falta de necesidad y proporcionalidad.
Plazos de conservación: Ajustar a plazos legales concretos (5 años para acciones civiles, 4 para fiscales).
Comunicaciones a terceros: Solicitar consentimiento expreso para compartir datos con colaboradores y especificar qué datos se comunican.
Identificación del usuario: Adoptar medidas para garantizar que el contratante es el titular de los datos (ejemplo: verificar datos adicionales).
Conclusión
El informe concluye que las Condiciones Generales y la Política de Privacidad de eSimFLAG no cumplen íntegramente con el RGPD y la LOPDGDD, principalmente por falta de transparencia, bases jurídicas incorrectas o genéricas, y tratamientos desproporcionados (como los datos biométricos). TME debe modificar estos documentos para ajustarlos a los principios de información clara, licitud, minimización de datos y proporcionalidad, evitando así posibles sanciones.
El informe no es vinculante, pero sirve de guía para que TME corrija las deficiencias antes de comercializar el servicio, asegurando el cumplimiento normativo y la protección de los derechos de los usuarios.